但不是所有的勒索病毒都能成功入侵。
最近,深信服終端安全團隊就發(fā)現(xiàn)了這樣一起“勒索未遂”的故事——勒索病毒在用戶開啟 RDP 服務時入侵,利用暴力破解手段試圖入侵破壞企業(yè)數(shù)據(jù),被深信服 EDR 安全團隊發(fā)現(xiàn)及時排查清除。
那么,該勒索病毒的具體入侵路徑究竟是怎樣的呢?
我們一起來看下。
反勒索病毒入侵全紀錄
發(fā)現(xiàn)威脅
首先,代入一下場景。
某天,深信服終端安全專家君哥正在通過深信服 EDR 云端查殺數(shù)據(jù)分析監(jiān)控著世界各地的病毒去向。
突然,深信服終端安全專家發(fā)現(xiàn)用戶的客戶端收到了一條告警提醒,仔細一看事情不妙,馬上開始排查。
按照規(guī)矩,深信服終端安全專家立刻用云端日志展開了遠程“調查”,通過安全云腦威脅情報獲取到對應的樣本文件,安全專家在本地進行了行為分析,證實確實為勒索病毒,該勒索病毒分別名為 Makop、Milleni500。
不過,大家也不必擔心,這個過程不會涉及任何敏感信息。
云端數(shù)據(jù)只上傳病毒查殺日志,包括設備 ID、查殺時間、病毒文件哈希、查殺路徑,但不會上傳用戶文件,未告警的正常文件也不會上傳任何信息,不會造成敏感信息泄露。
附勒索病毒詳細信息:
1、Makop 勒索病毒的勒索信息如下:
2、Milleni500 勒索病毒的勒索信息如下:
于是,安全專家聯(lián)系到對應的用戶對 EDR 管理平臺和告警終端進行詳細排查。
- 如何入侵
那么,這個病毒究竟是如何入侵的?
我們一步步往下看。
首先,通過對 EDR 管理平臺檢測日志的分析,發(fā)現(xiàn)產生告警的來源于一臺監(jiān)控服務器,該服務器對外網開啟了 RDP 服務。其中,靜態(tài)文件檢測進行了告警,并對勒索病毒文件進行了自動處置:
緊接著,深信服終端安全專家對該勒索病毒進行了更深層次的溯源發(fā)現(xiàn),該用戶終端一直在遭受持續(xù)的暴力破解攻擊。
根據(jù) EDR 日志告警的勒索病毒上傳目錄,與該勒索病毒一同檢出的還有大量黑客工具:包括 NS(用于內網掃描)、everything(正常的文件搜索工具,沒有實際威脅)、ClearLock(一款鎖屏軟件)、bat 腳本(用于刪除備份卷影)。
但通過 everything 排查主機上的EXE文件,未發(fā)現(xiàn)其他可疑情況,排查 asp、aspx、jsp、php 等后綴的文件,未發(fā)現(xiàn)異常。
此外,由于服務器系統(tǒng)日志保留時間較短,無法查到入侵時間點的日志信息,且排查未發(fā)現(xiàn) WebShell 和明顯入侵途徑,入侵方式暫不明確,因此無法溯源到最初的入侵 IP。
不過,好在該用戶開啟了 EDR 文件實時監(jiān)控、勒索病毒防護實時監(jiān)控以及自動處置策略,成功攔截了本次事件中上傳的勒索病毒,避免了一次“慘劇”發(fā)生。
深信服終端安全團隊來給您提個醒
雖然這一次該用戶“逃過一劫”,但對付勒索病毒除了依靠深信服 EDR 實時監(jiān)測外,更需要平時的自我防護,才能讓勒索病毒無可乘之機。
因此,針對該用戶的具體情況,深信服終端安全團隊也給出了一套行之有效的建議:
- 建議關閉 RDP 服務,不要對外網直接映射 RDP 服務,如有業(yè)務需要,建議使用 EDR 的微隔離對于威脅端口進從策略訪問控制并封堵或者使用 VPN;
- 使用 EDR 的基線檢查功能,查找系統(tǒng)中存在的弱密碼,并及時通知相關責任人進行修改;
- 服務器密碼使用復雜密碼,且不要與其他主機密碼重復、不要與外部賬號密碼重復,防止泄露;并使用 KeePass 等密碼管理器對相關密碼進行加密存儲,避免使用本地明文文本的方式進行存儲;
- 系統(tǒng)相關用戶杜絕使用弱口令,同時,應該使用高復雜強度的密碼,盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼,加強運維人員安全意識,禁止密碼重用的情況出現(xiàn),并定期對密碼進行更改;
- 已開啟 EDR 的 RDP 暴力破解并自動封堵功能,當出現(xiàn)暴力破解事件時,及時檢查密碼強度,并通知相關終端的責任人及時修改相關密碼;
- 建議開啟 EDR 的 RDP 二次登錄驗證功能;
- 使用 EDR 進行全網的漏洞掃描,發(fā)現(xiàn)并及時修補高危漏洞,及時打上補丁;
定期進行全盤掃描,建議安排安全人員定期進行日志分析,提前規(guī)避高危風險點。也可以聯(lián)系安服團隊進行公司網絡安全的全面檢查。
作為下一代終端安全產品,深信服 EDR 致力于為企業(yè)級用戶提供「輕量易用,實時保護,東西向可視可控」的終端安全防護能力。
目前深信服 EDR 已經廣泛應用在政府、金融、教育、醫(yī)療、企業(yè)等諸多行業(yè),部署端點超過 1200W+,全面保障政企事業(yè)單位的終端安全。
來源:深信服科技微信公眾號
來源:深信服科技微信公眾號
